La plupart des banques belges déploient actuellement à grande échelle
(certaines depuis plusieurs années déjà) un nouveau mode d’authentification
pour autoriser leur clientèle d’accéder à leurs services via Internet. Elles
distribuent un petit appareil ressemblant à une calculette pourvu d’un clavier
numérique, d’un écran et d’un lecteur de carte à puce. Cet appareil, en combinaison
avec la carte bancaire, offre la possibilité de s’authentifier sur le site web de la
banque et de signer des transactions en ligne, sur ce même site ou sur un site
marchand. Cet article vous entraîne dans la découverte du fonctionnement et de
l’implémentation du protocole EMV-CAP, puisque tel est son nom. Dans de nombreux
pays, les banques distribuent un appareil semblable, qui a fait l’objet de plusieurs
études par des experts reconnus en sécurité, notamment en Angleterre et aux Pays-
Bas. Nous comparerons ainsi le fonctionnement et les options prises par les banques
de ces pays. Nous passerons en revue certaines attaques publiées contre EMV afin
de déterminer si elles s’appliquent également dans le cadre d’EMV-CAP. Grâce à
la compréhension du protocole EMV-CAP, nous dissiperons certaines incertitudes
quant au fonctionnement interne de ces appareils et nous montrerons qu’il existe
des moyens qui rendent ce système encore plus sûr. Une émulation logicielle est
également mise à disposition pour ceux qui désirent expérimenter.
Szikora, Jean-Pierre ; et. al. Banques en ligne : à la découverte d'EMV-CAP. In: Multi-System and Internet Security Cookbook - MISC, Vol. 56, p. 50-62 (juillet-août 2011)